1.

Un representante de la tienda de ropa Warehouse, un minorista líder en la venta

de pantalones y otras prendas de vestir, acaba de llamarlo. Le explica que un
correo electrónico con un phishing llegó a todos los buzones de entrada del
personal del almacén. El correo electrónico prometía un gran premio gratis a
cambio de descargar un archivo adjunto y rellenar una encuesta. Un empleado
cometió el error de descargar el archivo adjunto del correo electrónico, poco
tiempo después este notó que un archivo de suma importancia había sido
robado. El representante quiere saber:
 La dirección IP del atacante y el sistema operativo del atacante
 El momento exacto en el trafico donde inicia y termina la transferencia
 El md5 del archivo transferido
 Cualquier otra información de valor acerca del ataque.

Se evaluará de forma estricta la fundamentación teórica, el proceso técnico

documentado y el uso de las herramientas adecuadas para encontrar las respuestas.

2. Realizar pruebas de seguridad al sitio http://zero.webappsecurity.com/ de

forma manual, está prohibido el uso de herramientas que automaticen el
proceso (scanner de vulnerabilidad). Se deberá documentar y entregar en
documento digital marcado con su nombre el proceso, las vulnerabilidades
encontradas, la forma de explotarla y el nivel de criticidad - 60 min

Prueba 3 – Gestión de Incidentes

1. En Seguridad de la información, defina riesgo, incidente, amenaza.
2. Un incidente ha sido reportado a ud como analista de seguridad, en primera
instancia ¿Cuál no es una respuesta apropiada? Argumente su elección
a. Tomar nota.
b. Mantener la calma.
c. Declarar lo ocurrido como incidente.
d. Validar el incidente.
3. ¿Qué tipo de malware es una amenaza significativa que afecte la Disponibilidad
de un recurso? Argumente su elección
a. Gusano
b. Ad aware
c. Spyware
d. Puerta trasera.
4. ¿Cuál tipo de escaneo puede ser usado para identificar que un servicio (server)
se encuentra protegido por un firewall con estado (statefull) o sin estado
(stateless)
a. TCP SYN
b. TCP ACK
c. TCP Connect
d. TCP FIN
Nota: Se evaluará de forma estricta las argumentaciones teóricas solicitadas.
 SOLUCIÓN
Prueba 3-
1. En Seguridad de la información, defina riesgo, incidente, amenaza.

 AMENAZA: Es un evento presentado y que posteriormente a este permita que

se pueda alterar la información, por ejemplo, una SQL injection a un login.

 RIESGO: Es la probabilidad de que un evento pueda ocurrir.

 INCIDENTE: Es la vulnerabilidad que existe en un sistema de información.

2. Un incidente ha sido reportado a ud como analista de seguridad, en primera

instancia ¿Cuál no es una respuesta apropiada? Argumente su elección
Rta: C. Declarar lo ocurrido como incidente.
Argumento: En mi opinión y en primera instancia ya no se debería declarar
lo ocurrido puesto que, ya he sido informado.

3. ¿Qué tipo de malware es una amenaza significativa que afecte la Disponibilidad

de un recurso? Argumente su elección
Rta: E. Gusano
Argumento: De los mencionados el gusano es el más significativo, debido a
que este puede propagarse y, sobrecargar de información la máquina, lo que
causaría un congelamiento de estas o la detención de otras funciones.

4. ¿Cuál tipo de escaneo puede ser usado para identificar que un servicio (server)
se encuentra protegido por un firewall con estado (statefull) o sin estado
(stateless)
Rta: b. TCP ACK
Argumento: Debido a que a través de ACK podemos identificar la trama que va
por la red y dentro de las propiedades está el estado que nos permite saber si
está o no conectado.
Punto 2
Realizar pruebas de seguridad al sitio http://zero.webappsecurity.com/ de
forma manual, está prohibido el uso de herramientas que automaticen el
proceso (scanner de vulnerabilidad). Se deberá documentar y entregar en
documento digital marcado con su nombre el proceso, las vulnerabilidades
encontradas, la forma de explotarla y el nivel de criticidad - 60 min
PAGINA

LOGIN

1. Como primera medida, ante un sistema de login debemos probar ciertas

técnicas, como el uso de nombres y contraseñas iguales, de igual forma, existen
también herramientas que permiten la automatización de este proceso y esto
nos deja saber si es seguro o no, incluso como prueba, quedan evidencias que a
los programadores se les olvida, como es el caso del sistema de sesión
implementado, mi prueba fue para el usuario: username y para la contraseña:
password. Como se evidencia a continuación:

En esta ocasión, se evidencia un descuido al dejar expuestos los datos de inicio

se sesión, que de una forma fácil permitió ingresar al sitio.
2. Al poder ingresar a este sitio, podemos saber los movimientos, procesos y
transacciones que el usuario ha realizado, como se evidencia a continuación.
Actividades de la cuenta
Mapa de pagos y movimientos

Estado de cuenta descargable Online

 Estado de cuenta o movimiento de 2012

3. Al ser un login no seguro, deja en evidencia mucha información que en caso de

que un hacker negro lo descubra, pueden realizarse movimientos
transaccionales sin dejar rastro, como se evidencia a continuación:

Vemos la oportunidad de realizar transacciones, y para una demostración,

Evidenciamos que es efectiva.

4. Otra vulnerabilidad encontrada, es que a través del link
http://zero.webappsecurity.com/admin/users.html se puede tener acceso a la
información de usuarios, lo que es un error muy critico, debido a la información
que este contiene, la cual es, nombre, contraseña, ssn.

En el paso a paso anterior se evidencia, la vulnerabilidad de este sitio, una de las

tantas formas de realizar un ingreso, y que es de nivel crítico.